ARTÍCULO

6 principios de una estrategia holística de seguridad de las API

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

INTRODUCCIÓN

Aunque la interfaz de usuario es la cara de sus aplicaciones, las API son la columna vertebral de su organización. Un error común que muchas empresas han cometido en el pasado es considerar que una API es solo la capa de la interfaz que hay sobre una aplicación. En este artículo, exploraremos los seis principios de un enfoque holístico y completo sobre la seguridad de las API.

1. Entender las API y los puntos de conexión

Hay una posibilidad muy real de que, aunque lo intentara, no pudiera identificar cada punto de conexión de las API de su entorno. Pero, por desgracia, es posible que no se pueda decir lo mismo de los actores malintencionados. Si hay un punto de conexión, este puede ser utilizado como vía de entrada.

Además, ofrecer API públicas le abre a recibir consultas de una infinidad de clientes, socios y aplicaciones, y expone a su organización. Hay una serie de controles de riesgo que deben tenerse en cuenta para proteger a su organización frente a los ataques que pueden conducir a infracciones y fraudes.

2. Encontrar el equilibrio entre innovación y seguridad

Es una lucha clásica. Por un lado, la necesidad de ser audaz, de superar los límites, de hacer lo que sus competidores no pueden, es la piedra angular de cualquier empresa de éxito. Pero, por otro lado, mantenerse seguro no siempre casa con las últimas innovaciones.

Informe

INFORME DE FORRESTER

Inseguridad de las API: La amenaza que acecha a su software

Consulte el nuevo informe de Forrester que analiza en profundidad los temas tratados en este artículo.

Obtener el informe ›

1. Diseñar una estrategia de gobierno de las API para cada tipo de API con el fin de establecer los controles de seguridad adecuados.

2. Implantar políticas de seguridad para las API que puedan aplicarse de forma coherente dondequiera que se desplieguen las API.

3. Adaptarse a las amenazas emergentes, a los comportamientos anómalos y a los usuarios malintencionados que intentan explotar o abusar de las API utilizando la IA para disminuir la carga de trabajo de los equipos de seguridad.

Dependiendo de su sector, las normas de cumplimiento variarán, ya que algunas son más estrictas que otras. En cualquier caso, es esencial que la postura de seguridad de sus API sea lo suficientemente robusta como para hacer frente a un aluvión de vectores de amenaza

3. Gestionar los riesgos a lo largo del ciclo de desarrollo.

Las pruebas de seguridad de las API no solo son necesarias una única vez. Realizar pruebas antes, durante y después del despliegue es fundamental. Al incorporar pruebas en cada etapa del desarrollo, se obtienen muchas más oportunidades de identificar debilidades y vulnerabilidades antes de que se produzca una infracción. Y aunque las herramientas de pruebas específicas de seguridad son estupendas, no hay que olvidar el modelado de casos de uso de seguridad.

4. Protecciones por capas desde el back-end hasta el cliente final.

Desde los clientes externos hasta la infraestructura interna, cada parte de la arquitectura debe contar con sus propias medidas de protección.

A la hora de pensar en la protección de la capa de las API, es útil clasificar primero las API en dos categorías: internas y externas. Las API internas son más sencillas de proteger, ya que el proveedor de la API puede coordinar las medidas de seguridad con los equipos de la aplicación. En el caso de las API externas, el cálculo del riesgo es diferente. Sin embargo, eso no significa que tenga que dejarlas a su suerte. Puede (y debe) seguir implementando protecciones a nivel de API que hagan tres cosas:

1. Reduzcan las posibilidades de que se produzca una infracción de seguridad con inteligencia sobre amenazas en tiempo real y mecanismos de control de acceso, como tokens de sesión reforzados.

2. Establezcan patrones de tráfico normales y anormales de referencia.

3. Restrinjan el uso de las API y proporcionen un control detallado de los agregadores aprobados.

En el nivel de producción, el enorme volumen de tráfico debido al crecimiento de las API requiere el uso de la IA para detectar comportamientos anómalos y usuarios malintencionados.

5. Disponer de las estrategias y herramientas adecuadas.

Al igual que no hay un único alimento que nos mantenga completamente nutridos, no hay una sola herramienta de seguridad que proteja completamente las API. En lugar de ello, es necesario desarrollar una estrategia que emplee un ecosistema de herramientas completo como parte de una arquitectura de seguridad holística.

Entre las herramientas que debe tener en cuenta se encuentran:

  • Una puerta de enlace de API
  • Pruebas de seguridad de las aplicaciones (SAST y DAST)
  • Un WAF
  • Bot management

Además, el descubrimiento de API y la microsegmentación son capacidades críticas del ecosistema.

6. Incorporar la seguridad a los procesos de desarrollo e implantación.

Probablemente piense que la seguridad de las API puede llegar a ser compleja debido a la diversidad de tecnologías, capas, diseños y contextos en los que se utilizan. Sin embargo, hay formas de mitigar esa complejidad.

Al abordar su postura de seguridad de las API, primero dé un paso atrás y mire el panorama general.

La seguridad debe ejecutarse en el mismo ciclo de vida continuo de las propias aplicaciones, lo que significa una estrecha integración en los procesos de CI/CD, el aprovisionamiento de servicios y los ecosistemas de supervisión de eventos.

Además, se siguen aplicando las prácticas de seguridad probadas: arquitecturas de denegación por defecto, encriptación fuerte y acceso con los mínimos privilegios.

Más información

Evite los fraudes de apropiación de cuentas y mantenga la confianza de los clientes

ARTÍCULO

Proteger las API: 10 prácticas recomendadas para mantener seguros sus datos e infraestructuras

A medida que las organizaciones ponen a disposición del público las API, deben establecer las prácticas recomendadas en cuestión de seguridad. A medida que las organizaciones ponen a disposición del público las API, deben establecer las prácticas recomendadas en cuestión de seguridad.

Leer más ›

eBook

INFORME

La expansión continua de las API: retos y oportunidades en una economía impulsada por las API

Aprenda a utilizar el top 10 de OWASP como base para conseguir un desarrollo más seguro y una mejor seguridad para las aplicaciones.

Obtener el informe ›

eBook

EBOOK

Seguridad de las API: Consideraciones clave para la protección de las API

¿Siente que sus API están expuestas? Aprenda cómo puede superar las amenazas invisibles.

Obtener el eBook ›